Cloud forensics e prova digitale: problematiche e soluzioni · 282 Informatica e diritto...

ii

“articoli/Anglano” — 2017/5/16 — 14:06 — page 281 — #281 ii

ii

ii

Cloud forensics e prova digitale: problematiche e soluzioni

COSIMO ANGLANO∗

SOMMARIO: 1. Introduzione – 2. Cloud computing – 2.1. Modalità di erogazionedi servizi cloud – 2.2. Modelli di dispiegamento di sistemi cloud – 2.3. Caratteri-stiche funzionali dei sistemi cloud – 3. Cloud forensics: problematiche e possibilisoluzioni – 3.1. Le problematiche della fase di identificazione – 3.2. Le problematichedella fase di acquisizione – 3.3. Le problematiche della fase di conservazione – 3.4. Leproblematiche della fase di analisi – 4. Conclusioni

1. INTRODUZIONE

Il termine cloud computing1 denota una modalità di erogazione di serviziInformation Technology - IT, in cui tali servizi (nel seguito denominati servizicloud) sono offerti da un insieme di operatori (nel seguito denominati cloudprovider o, per brevità, semplicemente provider) a una comunità di utenti inmodalità on demand (ovvero, accedendo a tali servizi solo quando necessa-rio) e pay-per-use (ovvero, pagando un corrispettivo dipendente unicamentedall’utilizzo del servizio e non in base a un canone fisso o acquistando unalicenza una tantum). Tali servizi sono erogati mediante l’uso di infrastrut-ture tecnologiche hardware e software (nel seguito sistemi cloud, per brevità)di proprietà dei provider; gli utenti accedono ai servizi mediante le normalitecnologie di rete (ad esempio, mediante la rete Internet) indipendentementedalla loro ubicazione geografica. Esempi di tali servizi comprendono l’uso dipiattaforme per elaborazione dati (quali, ad esempio, Amazon EC22), di si-stemi personali di archiviazione dati (quali, ad esempio, Dropbox3 e GoogleDrive4), e di applicazioni di varia natura (quali, ad esempio, Google Docs5).

Il cloud computing rappresenta una delle principali innovazioni verifica-tesi negli ultimi anni in ambito IT, come testimoniato dalla proliferazione

∗ L’A. è professore associato presso il Dipartimento di Scienze e Innovazione Tecnologicadell’Università del Piemonte Orientale.

1 P. MELL, T. GRANCE, The NIST Definition of Cloud Computing, Special Publication 800-145, Information Technology Laboratory, National Institute of Standards and Technology(NIST), Gaithersburg, 2011.

2 Amazon Elastic Compute Cloud, aws.amazon.com/ec2.3 Vedi www.dropbox.com.4 Vedi www.google.com/drive.5 Vedi www.google.com/docs/about.

Edizioni Scientifiche Italiane ISSN 0390-0975 ISBN 978-88-495-3285-2

Informatica e diritto, XLI annata, Vol. XXIV, 2015, n. 1-2, pp. 281-300

ii


ii

ii

282 Informatica e diritto /Trattamento e scambio della prova digitale in Europa

di servizi erogati in tale modalità. Conseguentemente, si sta verificando unprogressivo spostamento di una vasta classe di servizi, applicazioni e dati suinfrastrutture di elaborazione e storage ubicate presso soggetti terzi rispettoai loro utenti, gestori o proprietari.

Come tutti i sistemi digitali, anche i sistemi cloud possono essere oggettodi attività illecite, o essere a loro volta utilizzati per compiere attività di talegenere6. Pertanto, in tali circostanze, è necessario essere in grado di effettuarel’analisi forense di tali sistemi, al fine di determinare le azioni eseguite su diessi o mediante essi, le modalità con cui esse sono state compiute, e il soggettocui le stesse sono riconducibili.

La disciplina della cloud forensics, oggetto di significativa attenzione nellaletteratura scientifica degli ultimi anni7, si prefigge l’obiettivo di svilupparemetodologie e strumenti per l’analisi forense dei sistemi cloud. La necessitàdi individuare nuove metodologie di analisi forense scaturisce dalle specificitàdei sistemi cloud (quali, ad esempio, la distribuzione e la duplicazione di da-ti e componenti applicative, nonché l’elevato livello di virtualizzazione) cherendono difficilmente applicabili, quando non proprio inadatte, le metodo-logie sviluppate per l’analisi forense di sistemi digitali tradizionali. Questeultime sono infatti basate sul presupposto che sia possibile accedere senza re-strizioni sia ai sistemi oggetto di analisi, sia ai dati generati dai relativi utenti,ipotesi che però non valgono per i sistemi cloud.

La cloud forensics è una disciplina relativamente nuova e ancora in fase dievoluzione, in quanto non è ancora stato raggiunto un consenso unanimedalla comunità tecnico-scientifica su come affrontare e risolvere alcune dellediverse problematiche dovute alle specificità dei sistemi cloud.

In questo articolo saranno discusse le problematiche della cloud forensicsche costituiscono ancora un problema aperto, e saranno illustrate le relative

6 C. HOOPER, B. MARTINI, K.-K. RAYMOND CHOO, Cloud Computing and Its Implica-tions for Cybercrime Investigations in Australia, in “Computer Law & Security Review”, Vol.29, 2013, n. 2.

7 G. PALMER (ed.), A Road Map for Digital Forensics Research, number DTR-T001- 01 Fi-nal in “DFRWS Technical Report”, 2001; R. MCKEMMISH, What Is Forensic Computing?, in“Trends & Issues in Crime and Criminal Justice”, 1999, n. 118; K. KENT, S. CHEVALIER, T.GRANCE, H. DANG, Guide to Integrating Forensic Techniques into Incident Response, SpecialPublication 800-86, Information Technology Laboratory, National Institute of Standards andTechnology (NIST), Gaithersburg, 2006; M.D. KOHN, M.M. ELOFF, J.H.P. ELOFF, Integra-ted Digital Forensic Process Model, in “Computers & Security”, Vol. 38, 2013; B. MARTINI,K.-K. RAYMOND CHOO, An Integrated Conceptual Digital Forensic Framework for CloudComputing, in “Digital Investigation”, Vol. 9, 2012, n. 2.

ISSN 0390-0975 ISBN 978-88-495-3285-2 Edizioni Scientifiche Italiane

ii


ii

ii

C. Anglano / Cloud forensics e prova digitale: problematiche e soluzioni 283

soluzioni che rappresentano lo stato dell’arte nella letteratura scientifica diriferimento. In particolare, dopo un riepilogo delle caratteristiche salientidei sistemi cloud (par. 2), saranno discusse tali problematiche (par. 3), inqua-drando ciascuna di esse nella fase (o nelle fasi) della metodologia di analisiforense in cui essa si verifica, e illustrandone le diverse soluzioni attualmenteproposte nella letteratura scientifica. Infine, il par. 4 conclude l’articolo conalcune considerazioni finali.

2. CLOUD COMPUTING

Come già detto, l’erogazione di servizi cloud avviene mediante l’uso diun sistema cloud, ovvero un’infrastruttura hardware e software, che è ubica-ta in uno o più data center tipicamente organizzati secondo un’architetturadistribuita. All’interno di un sistema cloud, un ruolo chiave è ricoperto dalletecnologie di virtualizzazione delle risorse: le risorse di elaborazione, memo-rizzazione e trasmissione dei dati sono di tipo virtuale e non fisico, ovveroottenute mediante l’uso di tecniche di emulazione implementate sulle risorsefisiche. Conseguentemente, un tipico sistema cloud utilizza dei gestori dellerisorse virtualizzate (denominato hypervisor), che hanno il compito di gestirele risorse fisiche dell’infrastruttura, allocandole dinamicamente alle diverserisorse virtualizzate che condividono tale infrastruttura.

La natura distribuita dei sistemi cloud, la loro condivisione tra utenti di-versi, l’uso di tecnologie di virtualizzazione, l’adozione di meccanismi di re-plicazione e migrazione di risorse virtualizzate e dati, pongono svariate pro-blematiche che devono essere opportunamente gestite al fine di preservare leproprietà della potenziale prova.

Nel seguito, saranno discusse le caratteristiche dei sistemi cloud che as-sumono maggior rilievo nel contesto della cloud forensics, ed in particolarele modalità di erogazione dei servizi, i modelli di dispiegamento dei sistemicloud, e le loro caratteristiche funzionali.

2.1. Modalità di erogazione di servizi cloud

I servizi cloud sono tipicamente erogati in una di tre modalità distinte8

(che, talvolta, possono essere combinate tra loro), ovvero:

8 Q. ZHANG, L. CHENG, R. BOUTABA, Cloud Computing: State-of-the-art and ResearchChallenges, in “Journal of Internet Services and Applications”, Vol. 1, 2010, n. 1, pp. 7-18.


ii


ii

ii


– Infrastructure-as-a-Service (IaaS): questa modalità prevede la forniturae l’accesso on demand a risorse virtualizzate di tipo infrastrutturale(elaborazione, comunicazione e memorizzazione dati). Esempi di ser-vizi erogati in modalità IaaS includono Amazon EC2, Amazon EBS9 eFlexiscale10;

– Platform-as-a-Service (PaaS): questa modalità prevede la fornitura e l’ac-cesso on demand a risorse infrastrutturali virtualizzate (come per IaaS)su cui sono pre-installate e configurate risorse software di vario gene-re, quali ad esempio sistema operativo, librerie applicative, ambientidi sviluppo, ecc. Esempi di servizi erogati in modalità PaaS includonoGoogle App Engine11 e Microsoft Windows Azure12;

– Software-as-a-Service (SaaS): questa modalità prevede l’uso on demanddi applicazioni software eseguite su risorse remote (tipicamente vir-tualizzate). Esempi di servizi erogati in questa modalità includonoSalesForce13 e SAP Business ByDesign14.

2.2. Modelli di dispiegamento di sistemi cloud

Un modello di dispiegamento specifica come un’architettura di un sistemasoftware viene concretamente realizzata su un’infrastruttura fisica, mediantel’allocazione di una o più istanze di ciascuna componente software sulle va-rie risorse dell’infrastruttura. Per un dato sistema software possono esisterediversi modelli di dispiegamento, che si differenziano tra loro negli obietti-vi che cercano di perseguire, quali, ad esempio, specifici livelli di prestazionidel sistema, di disponibilità dei servizi erogati, di sicurezza e/o privatezza deidati, e il costo per gli utenti finali. Tali obiettivi sono in contrasto tra di loro,ovvero non è possibile massimizzarli tutti simultaneamente: ad esempio, ladisponibilità dei servizi e dei dati la si ottiene aumentando il livello di ridon-danza delle risorse fisiche, soluzione che però incide negativamente sui costi.

Nell’ambito dei sistemi cloud, sono stati sviluppati diversi modelli di di-spiegamento, ciascuno dei quali concepito per massimizzare alcuni degliobiettivi sopra elencati (a scapito, naturalmente, di altri), ovvero:

9 Amazon Elastic Block Storage, aws.amazon.com/ebs.10 FlexiScale: Utility Computing on Demand, www.flexiscale.com.11 Vedi code.google.com/appengine.12 Vedi www.microsoft.com/azure.13 Vedi www.salesforce.com.14 Vedi www.sap.com/sme/solutions/businessmanagement/businessbydesign/index.epx.


ii


ii

ii


– cloud pubbliche: in una cloud pubblica, le risorse sono offerte dai pro-vider ad una pluralità di soggetti utenti, nessuno dei quali ha acces-so esclusivo alle risorse. Una cloud pubblica offre diversi vantaggi aipropri utenti, i quali non devono sostenere alcun costo iniziale perl’acquisizione di risorse hardware e software, e non devono assumersialcun rischio operativo inerente l’infrastruttura IT che utilizzerannoper i propri scopi. Tuttavia, una cloud pubblica non consente ai propriutenti di esercitare un controllo integrale sulle risorse che essi usanoper memorizzare ed elaborare i propri dati, per cui risulta spesso ina-datta ad un uso in scenari orientati all’impresa, in cui tale controllo(specialmente per ciò che concerne la sicurezza e la privatezza dei dati)è essenziale;

– cloud private: una cloud privata è concepita per essere utilizzata in mo-do esclusivo da un solo soggetto utente. Di conseguenza, essa offre ilmaggior grado di controllo su prestazioni, affidabilità e sicurezza, maa un costo superiore rispetto a quello di una cloud pubblica;

– cloud ibride: una cloud ibrida è una combinazione di una cloud privatae di una pubblica, e cerca di coniugare i vantaggi di entrambe, evitando-ne al contempo gli svantaggi. In una cloud ibrida parte dell’infrastrut-tura è utilizzata esclusivamente da un unico soggetto, mentre la parterestante è utilizzata da una pluralità di soggetti distinti. Le cloud ibri-de offrono una maggior flessibilità rispetto sia alle cloud private sia aquelle pubbliche, ma richiedono una maggior attenzione nella proget-tazione in quanto è necessario prevedere dei meccanismi e delle politi-che in grado di mantenere chiaramente separate la partizione pubblicadell’infrastruttura da quella privata.

2.3. Caratteristiche funzionali dei sistemi cloud

I sistemi cloud sono caratterizzati da varie proprietà funzionali15, tra cuiquelle di seguito elencate, che hanno un impatto significativo sulle relativeinvestigazioni nell’ambito della cloud forensics16.

– Elasticità: ciascun utente di un servizio cloud può variare dinamica-mente, in qualunque momento ed a proprio piacimento, la quantitàe la tipologia di risorse ad esso allocate, ovvero può richiederne di ul-

15 Q. ZHANG, L. CHENG, R. BOUTABA, op. cit.16 A. PICHAN, M. LAZARESCU, S.T. SOH, Cloud Forensics: Technical Challenges, Solutions

and Comparative Analysis, in “Digital Investigation”, Vol. 13, 2015, pp. 38-57.


ii


ii

ii


teriori o rinunciare a parte di quelle correntemente in uso. Pertanto,le risorse utilizzate da un utente in uno specifico arco temporale pos-sono non essere più nella disponibilità di tale utente in un momentosuccessivo.

– Multi-tenancy: nello stesso sistema cloud coesistono servizi riconduci-bili a soggetti diversi (tenant), che condividono dinamicamente le stesserisorse fisiche, che non si fidano reciprocamente gli uni degli altri. Lamulti-tenancy ha un duplice carattere: da un lato, essa induce i vari te-nant ad adottare meccanismi crittografici che consentano di ottenereadeguati livelli di privatezza dei dati; dall’altro, può rendere difficol-toso stabilire a quale dei diversi tenant siano riconducibili gli artefattipresenti su una determinata risorsa fisica.

– Distribuzione geografica delle risorse: i data center che ospitano le ri-sorse hardware che costituiscono un sistema cloud sono tipicamenteorganizzati secondo un’architettura distribuita, in cui tali risorse sonopartizionate in un insieme di siti indipendenti, ubicati anche a grandidistanze tra di loro. Di conseguenza, le risorse virtualizzate e i dati re-lativi ad uno specifico utente possono essere ubicati su una pluralità didispositivi diversi, con l’effetto che può essere difficoltoso individuarel’ubicazione di tutti i dati riconducibili a tale utente.

– Gestione dinamica delle risorse: i sistemi cloud tipicamente impieganopolitiche di gestione delle risorse in cui quelle virtualizzate utilizzateda un utente possono essere fatte migrare (a tempo di esecuzione) trale varie risorse fisiche dell’infrastruttura. Ne consegue che può esserecomplesso individuare tutti i dati e le risorse virtualizzate riconducibiliad un determinato utente, nonché ricostruire la sequenza di risorsefisiche su cui essi sono stati allocati durante il loro ciclo di vita.

– Trasferimento del controllo: gli utenti di un sistema cloud non hannola possibilità di esercitare un livello di controllo completo sulle pro-prie risorse virtualizzate Il livello di controllo esercitabile dall’utentedipende dalla modalità di erogazione del servizio.Nel caso della modalità IaaS, l’utente ha il più alto grado di controllosulle proprie risorse virtualizzate, così che lo stesso può accedere senzarestrizioni a tutti i dati memorizzati su tali risorse. Nel caso della mo-dalità PaaS, il grado di controllo sulle risorse virtualizzate è invece limi-tato alle proprie applicazioni, mentre l’infrastruttura su cui esse sonoin esecuzione è nella sola disponibilità del provider; pertanto, l’accessoai dati di sistema richiede l’intervento del provider. Infine, il modello


ii


ii

ii


SaaS è caratterizzato dal minor grado di controllo da parte dell’utente,il quale non ha accesso né alle risorse virtualizzate, né alle applicazioni;pertanto, l’utente non ha accesso ad alcun tipo di informazione.

3. CLOUD FORENSICS: PROBLEMATICHE E POSSIBILI SOLUZIONI

Come già discusso in precedenza la disciplina della cloud forensics si po-ne l’obiettivo di sviluppare metodologie e strumenti per l’analisi forense deisistemi cloud, e può essere definita nel seguente modo17: «Cloud Compu-ting forensic science is the application of scientific principles, technologicalpractices and derived and proven methods to process past cloud computingevents through identification, collection, preservation, examination and re-porting of digital data for the purpose of facilitating the reconstruction ofthese events».

Come emerge dalla definizione, e come ritenuto concordemente dalla let-teratura scientifica18, le metodologie per la cloud forensics prevedono una se-quenza di fasi distinte, ovvero l’identificazione (identification) delle potenzialifonti di prova digitale, la raccolta (collection) e/o l’acquisizione (acquisition)di tali fonti, la loro conservazione (preservation), la loro analisi (analysis) e,infine, la presentazione (reporting) dei risultati ottenuti.

Lo standard ISO/IEC 2703719 fornisce una definizione precisa delle variefasi sopra elencate, con l’eccezione di quella di presentazione, che può inveceessere definita come proposto da Kent e colleghi20, ovvero:

– per identificazione si intende “the process involving the search for, re-cognition and documentation of potential digital evidence”, ovvero laricerca, l’individuazione e la documentazione delle potenziali fonti diprova digitale;

17 CLOUD COMPUTING FORENSIC SCIENCE WORKING GROUP, Nist Cloud Comput-ing Forensic Science Challenges, Draft NISTIR 8006, Information Technology Laboratory,National Institute of Standards and Technology (NIST), Gaithersburg, 2014.

18 G. PALMER (ed.), op. cit.; R. MCKEMMISH, op. cit.; K. KENT, S. CHEVALIER, T.GRANCE, H. DANG, op. cit.; M.D. KOHN, M.M. ELOFF, J.H.P. ELOFF, op. cit.; B. MARTI-NI, K.-K. RAYMOND CHOO, An Integrated Conceptual Digital Forensic Framework for CloudComputing, cit.

19 ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition, andpreservation of digital evidence.

20 K. KENT, S. CHEVALIER, T. GRANCE, H. DANG, op. cit.


ii


ii

ii


– per raccolta si intende “the process of gathering items that contain po-tential digital evidence”, ovvero il sequestro di dispositivi che conten-gono delle potenziali prove digitali;

– per acquisizione si intende “the process of creating a copy of data withina defined set”, ovvero la creazione di una copia dei dati che costituisco-no delle potenziali prove digitali;

– per conservazione si intende “the process to maintain and safeguard theintegrity and/or original condition of the potential digital evidence”,ovvero la preservazione dell’integrità delle potenziali prove digitali;

– per analisi si intende “the identification and evaluation of items of evi-dence from a source of potential digital evidence”, ovvero l’individua-zione e la valutazione di prove digitali, partendo da una sorgente dipotenziali prove digitali;

– per presentazione si intende un processo che “includes describing theactions performed (...) and other aspects of the forensic process”, ov-vero che comprende la descrizione delle azioni effettuate, nonché altriaspetti del procedimento seguito nell’analisi forense.

Le definizioni sopra riportate non indicano le specifiche procedure daadottare per attuare le varie fasi nel caso di una particolare categoria di si-stemi, e sono quindi di tipo generale, ovvero valgono per qualunque sistemadigitale. Tali procedure devono essere quindi definite, per una specifica ti-pologia di sistemi digitali, tenendo conto delle specificità di tali sistemi, inmodo da garantire il rispetto dei requisiti che caratterizzano sia la prova di-gitale (autenticità e integrità), sia il procedimento e gli strumenti di analisiforense (affidabilità, ripetibilità e giustificabilità dei risultati ottenuti)21.

Un tipico sistema cloud è composto da diversi sottosistemi che interagi-scono tra di loro, ovvero i client utilizzati per accedere ai servizi cloud, lerisorse virtualizzate utilizzate per erogare tali servizi, le risorse fisiche im-piegate per la gestione di quelle virtualizzate, e la rete di comunicazione checonsente la loro interazione.

Ciascuno di tali sottosistemi, essendo diverso dagli altri, richiede l’appli-cazione di procedure di analisi ad esso specifiche22.

21 E. CASEY, Digital Evidence and Computer Crime: Forensic Science, Computers and theInternet, III ed., Elsevier, 2011.

22 E. CASEY, Cloud Computing and Digital Forensics, in “Digital Investigation”, Vol. 9,2012, n. 2, pp. 69-70.


ii


ii

ii


Vi è un generale consenso nella letteratura scientifica23 sul fatto che laclient forensics (focalizzata sui sistemi client utilizzati per accedere ai servizicloud) non presenti problematiche specifiche rispetto a quelle che caratteriz-zano altre discipline forensi, quali computer forensics e mobile forensics. Per-tanto, le consolidate tecniche utilizzate in tali ambiti sono adatte a condurrel’analisi forense dei sistemi client utilizzati per accedere ai servizi cloud24.

Analoghe considerazioni valgono per la network forensics (focalizzata sul-le risorse di rete fisiche o virtualizzate facenti parte del sistema cloud), inquanto la cattura e l’analisi del traffico trasmesso sull’infrastruttura di unprovider non richiedono l’uso di tecniche diverse da quelle normalmenteutilizzate25.

Al contrario, invece, la server forensics (focalizzata sulle risorse fisiche evirtualizzate utilizzate per l’erogazione dei servizi) presenta delle specificità,dovute alle già discusse peculiarità dei sistemi cloud (v. par. 2.3), che causanovarie problematiche che devono essere opportunamente affrontate e risolte.Nel seguito saranno discusse tali problematiche e le corrispondenti soluzio-ni proposte nella letteratura, per le varie fasi della metodologia in cui taliproblematiche emergono, ovvero in quelle di identificazione, acquisizione,conservazione e analisi.

3.1. Le problematiche della fase di identificazione

La fase di identificazione ha l’obiettivo di individuare le risorse fisiche evirtualizzate, nonché dati di vario genere (ad esempio, file di log), che costi-tuiscono potenziali fonti di prova digitale. L’identificazione richiede quindi

23 A. PICHAN, M. LAZARESCU, S.T. SOH, op. cit.; D. BIRK, C. WEGENER, Techni-cal Issues of Forensic Investigations in Cloud Computing Environments, in “Proceedings ofthe 2011 Sixth IEEE International Workshop on Systematic Approaches to Digital ForensicEngineering”, Washington, 2011.

24 H. CHUNG, J. PARK, S. LEE, C. KANG, Digital Forensic Investigation of Cloud StorageServices, in “Digital Investigation”, Vol. 9, 2012, n. 2, pp. 81-95; J.S. HALE, Amazon CloudDrive Forensic Analysis, in “Digital Investigation”, Vol. 10, 2013, n. 3, pp. 259-265; B. MARTI-NI, K.-K. RAYMOND CHOO, Cloud Storage Forensics: OwnCloud as a Case Study, in “DigitalInvestigation”, Vol. 10, 2013, n. 4, pp. 287-299; D. QUICK, K.-K. RAYMOND CHOO, Dro-pbox Analysis: Data Remnants on User Machines, in “Digital Investigation”, Vol. 10, 2013, n.1, pp. 3-18.

25 T.V. LILLARD, C.P. GARRISON, C.A. SCHILLER, J. STEELE, Digital Forensics for Net-work, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data,Syngress, 2010.


ii


ii

ii


la conoscenza dell’ubicazione di tali risorse, al fine di poterle localizzare al-l’interno del sistema cloud, nonché del formato dei dati, al fine di poterli de-codificare correttamente e interpretarne il contenuto, per poterne valutare larilevanza ai fini dell’analisi.

In un sistema cloud, tuttavia, fattori quali la mancanza di informazio-ni sull’ubicazione delle risorse virtualizzate e dei dati, la loro decentraliz-zazione e cifratura, e l’inaccessibilità fisica del sistema, rendono complessal’identificazione delle potenziali fonti di prova, come discusso nel seguito.

3.1.1. Ubicazione ignota delle risorse virtualizzate e dei dati

Per ottenere adeguati livelli di prestazioni e disponibilità dei servizi, unsistema cloud in genere utilizza politiche di gestione delle risorse che preve-dono sia la replicazione sia la migrazione di dati e di risorse virtualizzate sullevarie risorse fisiche facenti parte del sistema cloud. Di conseguenza, gli utentifinali non sono in grado di determinare l’ubicazione fisica delle loro risorsee dei loro dati, e tantomeno quella dei dati riferibili alle varie risorse fisichedel sistema cloud.

Le soluzioni a questo problema proposte nella letteratura scientifica sonole seguenti:

– resource tagging26: ciascun utente associa un’etichetta (tag) ai propridati e risorse virtualizzate, in modo che da un lato questi possano essererapidamente identificati, e dall’altro sia possibile indicare al providereventuali restrizioni su quali risorse fisiche possano essere utilizzateper la loro memorizzazione nel caso in cui sia necessario effettuare unamigrazione;

– service level agreements27: questa soluzione prevede di inserire tra gliobblighi contrattuali del provider (denominati Service level agreements)dei vincoli sui dati e risorse virtualizzate che possono essere oggetto dimigrazione, e delle restrizioni sull’ubicazione geografica delle risorsefisiche utilizzate per la migrazione;

26 B. HAY, K. NANCE, M. BISHOP, Storm Clouds Rising: Security Challenges for IaaS CloudComputing, in “Proceedings of the 44th Hawaii International Conference on System Sciences(HICSS)”, 2011, pp. 1-7.

27 K. RUAN, J. JAMES, J. CARTHY, T. KECHADI, Key Terms for Service Level Agreementsto Support Cloud Forensics, in G. Peterson, S. Shenoi (eds.), “Advances in Digital ForensicsVIII”, Springer, 2012, pp. 201-212.


ii


ii

ii


– system-level log28: questa soluzione prevede che il provider mantengadei file di log su cui vengono registrati tutti gli eventi di potenziale in-teresse per l’analisi forense (quali, ad es., l’accesso ai dati da parte degliutenti, la creazione/cancellazione/modifica di risorse software, ecc.).

3.1.2. Decentralizzazione dei dati

In un sistema cloud, i dati di un utente non sono in generale memorizzatisu un’unica risorsa fisica, ma sono invece distribuiti su più risorse, in mododa aumentarne la disponibilità e ridurne i tempi di accesso. Di conseguenza,può essere difficile identificare tutte le risorse fisiche su cui sono memorizzatii dati riconducibili ad uno specifico utente, con la conseguenza che parte ditali dati potrebbero non essere individuati.

Questo problema è stato affrontato nella letteratura scientifica mediantela proposta di adottare, nel sistema cloud, un log framework29 in cui registra-re le operazioni relative alla memorizzazione dei dati (distribuzione, dupli-cazione, migrazione, ecc.) in modo che sia possibile identificare in modopreciso le risorse su cui essi sono memorizzati in un determinato momento,oltre che ricostruire le operazioni effettuate sugli stessi.

3.1.3. Cifratura dei dati

La multi-tenancy che caratterizza i sistemi cloud (v. par. 2.3) fa sì che lastessa infrastruttura fisica sia condivisa da una pluralità di soggetti diversi,che non si fidano reciprocamente l’uno dell’altro.

Le esigenze di mantenere adeguati livelli di riservatezza dei dati in situa-zioni di multi-tenancy e condivisione di risorse tra più soggetti sono di solitosoddisfatte mediante l’uso di tecniche di cifratura (encryption) dei dati. In al-cuni casi, il provider offre un servizio sia di cifratura dei dati, sia di gestionedelle chiavi di cifratura. In altri casi, invece, è l’utente che cifra i dati primadi memorizzarli sull’infrastruttura del provider.

La cifratura dei dati pone evidenti problemi nell’identificazione delle po-tenziali fonti di prova digitale, in quanto tali dati non sono interpretabili in

28 A. PICHAN, M. LAZARESCU, S.T. SOH, op. cit.29 R. MARTY, Cloud Application Logging for Forensics, in “Proceedings of the 2011 ACM

Symposium on Applied Computing”, New York, 2011; T. SANG, A Log Based Approach toMake Digital Forensics Easier on Cloud Computing, in “Proceedings of the Third InternationalConference on Intelligent System Design and Engineering Applications”, 2013.


ii


ii

ii


assenza di un’operazione di decriptazione e, quindi, non sono valutabili aifini della loro identificazione come potenziali fonti di prova digitale. Al mo-mento, tuttavia, non risulta essere presente, nella letteratura scientifica, unasoluzione metodologica che consenta di prescindere dalla conoscenza dellachiave utilizzata per la cifratura. Pertanto, nel caso in cui sia il provider agestire la memorizzazione di tale chiave, può essere possibile richiedere al-lo stesso la chiave (nell’ipotesi che il sistema di gestione delle chiavi lo con-senta). Nel caso, invece, in cui la cifratura sia stata effettuata direttamentedall’utente, tale approccio non è applicabile.

3.1.4. Inaccessibilità delle risorse fisiche

In un sistema cloud, le risorse fisiche che lo costituiscono sono ubicate fisi-camente nei data center del provider, di norma inaccessibili all’utente finale.Ne consegue che l’identificazione e la localizzazione di quelle risorse fisicheche possono contenere potenziali fonti di prova è, di fatto, estremamentedifficile, quando non proprio impossibile.

La fase di identificazione, pertanto, richiede la collaborazione del pro-vider (l’unico soggetto in grado di accedere fisicamente al sistema cloud), ilquale però potrebbe essere scarsamente propenso a prestarla in assenza di uncompenso, o di specifici obblighi contrattuali. Pur evidenziando che nellaletteratura scientifica non sono presenti soluzioni a questa problematica (es-sendo essa attinente più al piano organizzativo che a quello tecnico), va co-munque rilevato come i vari provider stiano progressivamente riconoscendola presenza di tali necessità. Ad esempio, Amazon offre, come servizi a dispo-sizione di ciascun utente, l’estrazione del contenuto della memoria volatiledelle sue macchine virtuali30, nonché il trasferimento dei vari file di log chememorizzano gli eventi generati durante le operazioni di gestione eseguiteda tale utente31.

3.2. Le problematiche della fase di acquisizione

La fase di acquisizione ha l’obiettivo di realizzare una copia delle risorsevirtualizzate e dei dati individuati nella fase di identificazione. Le tecniche diacquisizione utilizzate nel caso dei sistemi digitali tradizionali prevedono che

30 A. PICHAN, M. LAZARESCU, S.T. SOH, op. cit.31 AWS CloudTrail, aws.amazon.com/it/cloudtrail.


ii


ii

ii


gli stessi siano connessi dall’operatore ad un sistema di acquisizione, medianteil quale viene creata una copia dei relativi supporti di memoria.

Le caratteristiche dei sistemi cloud, quali l’inaccessibilità fisica delle risor-se, la volatilità delle risorse virtualizzate, e l’uso di meccanismi di replica-zione di tali risorse, pongono delle problematiche (descritte nel seguito) cherendono inadatte le suddette tecniche di acquisizione standard, per cui si po-ne la necessità di svilupparne di nuove che siano in grado di risolvere taliproblemi.

3.2.1. Inaccessibilità delle risorse fisiche

Come già detto, le risorse fisiche che costituiscono un sistema cloud so-no ubicate nei data center del provider, e sono quindi di norma inaccessibiliall’utente finale. Pertanto, per poter effettuare l’acquisizione, è necessarioutilizzare tecniche in cui i dati siano acquisiti direttamente sull’infrastrut-tura del provider, per essere poi trasferiti – mediante un canale affidabile esicuro – su un sistema di memorizzazione esterno al sistema cloud.

Nella letteratura scientifica sono state proposte diverse soluzioni al pro-blema dell’inaccessibilità fisica del sistema, che possono anche essere combi-nate tra di loro, e in particolare:

– tecniche di acquisizione remota: i dati sono acquisiti mediante l’uso diadeguati strumenti software, che si interfacciano con il sistema cloudper ottenere una copia delle risorse virtualizzate o dei dati di interesse.In letteratura sono state proposte sia tecniche basate sull’uso di stru-menti software concepiti per l’uso su sistemi digitali tradizionali32, siadi strumenti appositamente concepiti per l’uso su sistemi cloud33.

– Uso di servizi di gestione del sistema cloud: i sistemi cloud in genereforniscono ai propri utenti la possibilità di gestire le proprie risorseed i propri dati attraverso “pannelli di controllo” virtuali, accessibilimediante un’applicazione web. Questi pannelli di controllo in genere

32 J. DYKSTRA, A.T. SHERMAN, Acquiring Forensic Evidence from Infrastructure- as-a-service Cloud Computing: Exploring and Evaluating Tools, Trust, and Techniques, in “DigitalInvestigation”, Vol. 9, 2012, Suppl., pp. 90-98.

33 C. FEDERICI, Cloud Data Imager: A Unified Answer to Remote Acquisition of CloudStorage Areas, in “Digital Investigation”, Vol. 11, 2014, n. 1, pp. 30-42; D. QUICK, K.-K. RAYMOND CHOO, Forensic Collection of Cloud Storage Data: Does the Act of CollectionResult in Changes to the Data or Its Metadata?, in “Digital Investigation”, Vol. 10, 2013, n. 3,pp. 266-277; K. OESTREICHER, A Forensically Robust Method for Acquisition of iCloud Data,in “Digital Investigation”, Vol. 11, 2014, Suppl. 2, pp. 106-113.


ii


ii

ii


consentono anche di acquisire dati di vario tipo, quali ad esempio filedi configurazione delle risorse virtuali dell’utente, file di log generatidalla piattaforma di virtualizzazione utilizzata dal sistema cloud, logrelativi agli accessi da parte dell’utente, e altri.

– Tecniche di live forensics: gli strumenti software di acquisizione sonoeseguiti direttamente sulle risorse virtualizzate di interesse, mentre lestesse sono in esecuzione. In aggiunta agli strumenti utilizzati per lalive forensics in ambito tradizionale, le tecnologie di virtualizzazioneconsentono di utilizzare una tecnica nota come Virtual Machine Intro-spection - VMI34, disponibile sulle piattaforme di virtualizzazione piùdiffuse35, che consente di estrarre varie informazioni direttamente dauna macchina virtuale in esecuzione senza perturbarne lo stato.

– Uso di meccanismi di “snapshotting”: il termine snapshot indica il sal-vataggio, su memoria persistente, dello stato di una macchina virtualementre essa è in esecuzione. Uno snapshot contiene numerose informa-zioni di possibile interesse, quali, ad esempio, i processi in esecuzione,il contenuto della loro memoria, le sessioni di rete aperte, gli utenticollegati alla macchina virtuale, e molte altre. La generazione di ripe-tuti snapshot in momenti diversi consente inoltre di “fotografare” lostato della macchina virtuale in tali momenti, permettendo quindi laricostruzione “dinamica” delle attività condotte mediante essa. Que-sti meccanismi sono disponibili su tutte le più diffuse piattaforme divirtualizzazione.

3.2.2. Volatilità delle risorse virtualizzate

I servizi di tipo IaaS e PaaS sono erogati mediante l’uso di macchine edispositivi di storage virtuali, che sono creati e distrutti dinamicamente in se-guito alle richieste dei relativi utenti. Ne consegue che, nel caso in cui sia ne-cessario acquisire tali risorse, le stesse potrebbero non essere più disponibilinel sistema cloud in seguito alla loro cancellazione.

Una possibile soluzione a questo problema, proposta nella letteratura36,consiste nell’uso delle già dette tecniche di snapshotting per catturare, nel mo-

34 J. HIZVER, T.-C. CHIUEH, Real-time Deep Virtual Machine Introspection and ItsApplications, in “SIGPLAN Notices”, Vol. 49, 2014, n. 7.

35 A. MORE, S. TAPASWI, Virtual Machine Introspection: Towards Bridging the SemanticGap, in “Journal of Cloud Computing”, Vol. 3, 2014, n. 1.

36 A. PICHAN, M. LAZARESCU, S.T. SOH, op. cit.


ii


ii

ii


mento antecedente più prossimo all’acquisizione, lo stato delle varie risorsevirtualizzate di interesse, al fine di preservarne lo stato per poi poterlo ac-quisire successivamente. Va tuttavia rilevato che tale soluzione, per essereapplicabile, richiede che le risorse di interesse siano state individuate in anti-cipo rispetto alla necessità della loro acquisizione, al fine di poterne otteneregli snapshot prima che esse siano rimosse, circostanza non sempre possibilein un caso reale.

3.2.3. Replicazione dei dati

I sistemi cloud tipicamente utilizzano meccanismi di replicazione dei datial fine di ottenere livelli adeguati di prestazioni e disponibilità dei servizi.Tali meccanismi creano diverse copie dei dati, e le memorizzano su sistemi distorage distinti, anche ubicati in data center diversi. Le diverse repliche sonoquindi mantenute in uno stato di consistenza grazie all’uso di meccanismi disincronizzazione di varia natura.

La presenza di più repliche dello stesso insieme di dati può causare deiproblemi durante la fase di acquisizione, in quanto i meccanismi di sincro-nizzazione delle repliche richiedono una congrua quantità di tempo per pro-pagare le modifiche, effettuate su una specifica copia dei dati, a tutte le altrerepliche presenti nel sistema. Pertanto, nel caso in cui dovesse essere scelta,per l’acquisizione, una copia non ancora aggiornata con le ultime modifiche,i dati acquisiti potrebbero risultare obsoleti.

Per risolvere tale problema, la procedura di acquisizione deve interfacciar-si con il sistema di gestione delle repliche, in modo da ottenere dallo stesso lareplica più recente dei dati (nel caso in cui alcune delle copie siano ancora inuno stato inconsistente), anziché individuare manualmente le diverse repli-che presenti nel sistema e sceglierne una in particolare. È del tutto evidenteche, affinché tale soluzione sia attuabile, il sistema cloud deve offrire ai propriutenti la possibilità di interfacciarsi con il sistema di gestione delle repliche.

Inoltre, per evitare che i dati siano modificati nel corso dell’acquisizione,è necessario impedire che una qualunque replica venga aggiornata, e non soloquella oggetto dell’acquisizione. Per risolvere questo problema, è necessarioche il sistema cloud fornisca dei meccanismi di lock globali, in grado di inibiremodifiche ad una qualunque replica di un determinato set di dati. Tuttavia,tali meccanismi non sempre sono presenti, in quanto onerosi sia da realizzaresia da attuare.


ii


ii

ii


3.3. Le problematiche della fase di conservazione

La fase della conservazione ha l’obiettivo di salvaguardare l’integrità del-le potenziali fonti di prova, mantenendo le stesse nelle condizioni in cui sitrovavano al momento dell’acquisizione.

Mentre il mantenimento dell’integrità della copia può essere ottenuto me-diante il rispetto della catena di custodia, e dimostrato in qualunque momen-to mediante l’uso di tecniche standard della digital forensics (quali, ad esem-pio, i codici hash crittografici), garantire l’integrità dei dati originali memo-rizzati su un sistema cloud presenta le problematiche discusse nel seguito.

3.3.1. Segregazione della prova

La multi-tenancy che caratterizza i sistemi cloud impone che, al fine dievitare che le risorse virtualizzate e i dati di un certo utente possano esse-re modificati da altri utenti, siano adottati appositi meccanismi in grado disegregare tali risorse, ovvero fare in modo che le risorse di un utente non sia-no accessibili dagli altri utenti del sistema. Le tecnologie di virtualizzazioneoffrono, per loro stessa natura, la segregazione delle risorse virtualizzate, epertanto il problema della segregazione non sussiste nel caso di tali risorse.Per contro, nel caso in cui i dati relativi ai vari utenti non siano memoriz-zati su dispositivi virtualizzati, ma usino invece un file system condiviso (puropportunamente organizzato in modo da partizionare i file riconducibili aidiversi utenti), è necessario utilizzare o implementare adeguati meccanismidi segregazione direttamente nel sistema operativo.

3.3.2. Replicazione dei dati

Come per la fase di acquisizione, la replicazione dei dati pone problemianche nella fase di conservazione. Infatti, nel caso in cui un meccanismo dilock globale non sia disponibile, possono verificarsi modifiche ai dati succes-sivamente alla fine dell’acquisizione ma prima che gli stessi siano sottopostialla procedura di conservazione. Nella letteratura scientifica non risultanoessere ancora disponibili soluzioni a questo problema.

3.3.3. Volatilità delle risorse virtualizzate

La volatilità delle risorse virtualizzate, già discusso nel contesto delle pro-blematiche inerenti la fase di acquisizione, determina potenziali criticità an-


ii


ii

ii


che in quella di conservazione. La cancellazione di risorse virtualizzate (ri-chiesta da un utente, o effettuata automaticamente dal sistema) impedisce,infatti, di preservare lo stato dei dati memorizzati su di esse. La soluzioneproposta nella letteratura37 è analoga a quella basata sull’uso di tecniche disnapshotting in fase di acquisizione, e consiste nel conservare lo (o gli) snapshotutilizzati nella fase di acquisizione.

3.4. Le problematiche della fase di analisi

La fase di analisi ha l’obiettivo di individuare e valutare le potenziali provedigitali partendo dai dati acquisiti.

La natura distribuita dei sistemi cloud, e la già menzionata presenza di di-versi sottosistemi che interagiscono tra loro, pone la necessità di integrare traloro potenziali prove digitali ottenute da sistemi diversi. Tale integrazione,tuttavia, può essere resa difficoltosa dalle problematiche descritte di seguito.

3.4.1. Integrazione di diverse fonti di prova

Nei sistemi cloud, le possibili fonti di prova digitale sono distribuite suuna molteplicità di dispositivi diversi, quali quelli utilizzati dagli utenti fina-li, le risorse infrastrutturali (ad esempio, proxy applicativi o altro) e le risorsevirtualizzate. Inoltre spesso un provider, nell’erogazione di un determinatoservizio, si avvale di servizi erogati da altri provider, creando quindi una ca-tena di dipendenze che determina la presenza di possibili potenziali prove supiù sistemi cloud distinti tra loro38. L’integrazione delle diverse fonti di pro-va digitali costituisce un elemento essenziale per effettuare una ricostruzionecompleta degli eventi. Nella letteratura39 sono state proposte alcune soluzio-ni per effettuare adeguatamente tale integrazione, che sono basate sull’uso disistemi in grado di aggregare una molteplicità di file di log distinti ed aventiformato eterogeneo, e di analizzare i dati risultanti40.

37 A. PICHAN, M. LAZARESCU, S.T. SOH, op. cit.38 K. RUAN, J. CARTHY, T. KECHADI, M. CROSBIE, Cloud Forensics, in G. Peterson, S.

Shenoi (eds.), “Advances in Digital Forensics VII”, Springer, 2011.39 A. PICHAN, M. LAZARESCU, S.T. SOH, op. cit.40 Cfr., ad esempio, i sistemi descritti in: aws.amazon.com/it/cloudtrail; Y.-P. DING, G.

STAGER, Security Tools: TSIEM and AppScan Source for Security, in “Proceedings of the 2011Conference of the Center for Advanced Studies on Collaborative Research”, Riverton, 2011.


ii


ii

ii


3.4.2. Inconsistenza dei riferimenti temporali

Al fine di ricostruire la sequenza degli eventi verificatisi in un sistemacloud, è necessario redigere la cosiddetta linea temporale (timeline), ovverola sequenza degli eventi ordinati cronologicamente in base all’istante dellaloro occorrenza (timestamp). È del tutto evidente che, al fine di ottenereuna timeline corretta, è essenziale che i timestamp siano, a loro volta, cor-retti. Poiché gli eventi in un sistema cloud sono generati da un molteplicitàdi dispositivi distinti, è necessario inserire nella stessa linea temporale even-ti provenienti da dispositivi diversi. Ciò può causare due diversi problemi:(a) gli orologi di sistema di tali dispositivi possono non essere sincronizzati,dando luogo a inconsistenze nell’ordinamento globale degli eventi; (b) puòessere piuttosto complesso mantenere la corretta associazione tra un evento(e il relativo timestamp) e il dispositivo da cui esso proviene, causando erroridi attribuzione di tale evento al relativo dispositivo. Le soluzioni propostenella letteratura appartengono a due diverse categorie. La prima categoriaprevede l’uso di sistemi di logging sicuri41, con certificazione dei timestamp,che consentono di certificare la correttezza dei timestamp memorizzati per ivari eventi di un singolo dispositivo. La seconda categoria prevede l’uso ditecniche di secure provenance42, che consentono di associare in modo certo aciascun evento informazioni quali il relativo timestamp, il dispositivo da cuiproviene, e l’utente o applicazione che lo ha generato.

3.4.3. Cifratura dei dati

Il problema della cifratura dei dati, dovuto alla multi-tenancy e già discus-so nel contesto della fase di identificazione, sussiste anche nella fase di analisi,dove i suoi effetti sono amplificati in conseguenza all’impossibilità di decodi-ficare dati di potenziale interesse, che a sua volta può determinare una rico-struzione incompleta degli eventi verificatisi sul sistema. Come già discussoin precedenza, nella letteratura scientifica non è attualmente presente alcunasoluzione metodologica che consenta di prescindere dalla conoscenza dellachiave utilizzata per la cifratura.

41 S. ZAWOAD, A. KUMAR DUTTA, R. HASAN, SecLaaS: Secure Logging-as- a-servicefor Cloud Forensics, in “Proceedings of the 8th ACM SIGSAC Symposium on Information,Computer and Communications Security”, New York, 2013.

42 R. LU, X. LIN, X. LIANG, X. (SHERMAN) SHEN, Provenance: The Essential of Bread andButter of Data Forensics in Cloud Computing, in “Proceedings of the 5th ACM Symposiumon Information, Computer and Communications Security”, New York, 2010.


ii


ii

ii


4. CONCLUSIONI

Il consolidamento del cloud computing come modello per l’erogazione diservizi ha rafforzato la necessità di sviluppare delle metodologie di analisiforense per sistemi cloud. In risposta a questa necessità, la comunità scien-tifica ha proposto diverse soluzioni alle problematiche causate dalle specifi-cità dei sistemi cloud, che rendono inadatte le metodologie di analisi forensesviluppate per sistemi di altro tipo.

In questo articolo sono state analizzate le problematiche ancora apertee le relative soluzioni proposte nella letteratura scientifica. Da tale analisiemerge chiaramente che, nell’ambito della cloud forensics, sebbene siano staticompiuti numerosi progressi, rimangono ancora aperti molti problemi cherichiedono ulteriori sforzi da parte della comunità scientifica. Tra questi,particolare rilievo assumono quelli dovuti alla volatilità delle risorse virtua-lizzate (presenti sia nella fase di acquisizione che in quella di conservazionedelle fonti di prova), quelli determinati dall’inaccessibilità delle risorse fisi-che (presenti sia nella fase di identificazione che in quella di acquisizione) equelli causati dall’uso di tecniche di cifratura dei dati (presenti sia nella fasedi identificazione che in quella di analisi), anche se in questo caso si tratta diuna problematica generale comune ad altre discipline forensi.

Per risolvere queste criticità, non è sufficiente che siano sviluppate solu-zioni tecniche adeguate, ma è fondamentale ottenere il coinvolgimento e ilsupporto del provider nell’applicazione di tali soluzioni. Ad esempio, il pro-blema dell’inaccessibilità delle risorse fisiche, che emerge sia nella fase di iden-tificazione sia in quella di acquisizione, può essere superato completamentesolo se il provider offre il proprio supporto a eseguire direttamente su talirisorse le operazioni previste dalle specifiche soluzioni tecniche individuate.

Analogamente, altre soluzioni richiedono la disponibilità dei provider aimplementare nei propri sistemi cloud dei servizi o dei meccanismi la cui uni-ca finalità è quella di offrire supporto alle attività di cloud forensics. Ciò, tut-tavia, è di solito in conflitto con gli interessi economici dei provider. Infatti,da un lato, tali soluzioni possono porre delle limitazioni alle operazioni cheil provider può effettuare per ottimizzare l’uso delle proprie risorse (quali, adesempio, la migrazione di componenti applicative e/o dati), risultando in unapossibile perdita di profitto. Dall’altro, l’attuazione di tali soluzioni compor-ta dei costi per il provider, il quale deve dedicare parte delle risorse della suainfrastruttura all’esecuzione delle componenti software che implementanole soluzioni in questione.


ii


ii

ii


È pertanto indispensabile individuare delle modalità che incentivino iprovider ad assumere un ruolo operativo sempre maggiore, in supporto al-lo svolgimento delle procedure previste dalla cloud forensics, superando leresistenze che possono frenarne il coinvolgimento.

Infine, va rilevato come la cloud forensics presenti anche problemi di na-tura giuridica, in aggiunta a quelli tecnici trattati in questo articolo. Infattila possibilità di allocare risorse virtuali e dati su risorse fisiche potenzialmen-te ubicate in diversi paesi pone inevitabilmente diversi problemi, sia di tipogiurisdizionale, sia di tipo procedurale, che devono essere opportunamenteapprofonditi in altre sedi, al fine di stimolare la ricerca di soluzioni adeguate.


Cloud forensics e prova digitale: problematiche e soluzioni · 282 Informatica e diritto...

Documents

Transcript of Cloud forensics e prova digitale: problematiche e soluzioni · 282 Informatica e diritto...